Sujet Précédent Sujet Suivant

Malware Tool-Prockill ou faux positif ?

Résolu/Fermé
CactusFlower - Modifié par CactusFlower le 19/08/2010 à 19:28
 CactusFlower - 20 août 2010 à 02:07
Bonjour,


J'ai fait un scan approfondi avec le firewall çà la recherche de logiciels espions.

J'obtiens ce résultat :

Nom: Tool-Prockill
Type: Malware

Description:
Does not threaten computers directly, but can be used to create viruses or Trojans, or to carry out illegal activities such as DoS attacks and breaking into other computers.

Fichiers:
c:\System Volume Information\_restore{5DC9F00C-DD59-426F-81CA-05114EA1E330}\RP296\A0082182.exe

Antivir n'a pas bronché.


or d'après ce que j'ai pu lire sur le net, ça pourrait être un faux positif ...J'aimerais que ce soit vrai. A moins que ce soit quelque chose qui ait persisté après mon dernier problème (https://forums.commentcamarche.net/forum/affich-18849891-infection-search-settings



J'ai fait un premier scan avec Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:26:55, on 19/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
c:\program files\avira\antivir desktop\avcenter.exe
C:\Documents and Settings\ERIC\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://portail.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll
O2 - BHO: agcore.AGUtils - {0bc6e3fa-78ef-4886-842c-5a1258c4455a} - mscoree.dll (file missing)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Webshots Toolbar - {C17590D2-ECB4-4b15-8820-F58798DCC118} - C:\Program Files\Webshots\3.1.5.7613\WSToolbar4IE.dll
O3 - Toolbar: Copernic Agent - {F2E259E8-0FC8-438C-A6E0-342DD80FA53E} - C:\Program Files\Copernic Agent\CopernicAgentExt.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Program Files\IEPro\IEProRecorder.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min /nosplash
O4 - HKLM\..\Run: [OutpostMonitor] "C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe" /tray /noservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Webshots Photo Search - res://C:\Program Files\Webshots\3.1.5.7613\WSToolbar4IE.dll/MENUSEARCH.HTM
O8 - Extra context menu item: Add to AMV/AVI Video Converter... - C:\Program Files\MP3 Player Utilities 4.21\AMVConverter\grab.html
O8 - Extra context menu item: Chercher avec Copernic Agent - res://C:\Program Files\Copernic Agent\CopernicAgentExt.rdl/INTEGRATION_MENU_SEARCHEXT
O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll
O9 - Extra button: (no name) - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra 'Tools' menuitem: Démarrer Copernic Agent - {193B17B0-7C9F-4D5B-AEAB-8D3605EFC084} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: Copernic Agent - {688DC797-DC11-46A7-9F1B-445F4F58CE6E} - C:\PROGRA~1\COPERN~1\COPERN~1.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{78885D41-106E-4A27-9F1D-CD4E071A17F0}: NameServer = 213.36.80.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Oracle - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
A voir également:

28 réponses

  • 1
  • 2
Réponse 1 / 28
Utilisateur anonyme
19 août 2010 à 19:33
Salut,

c:\System Volume Information\_restore{5DC9F00C-DD59-426F-81CA-05114EA1E330}\RP296\A0082182.exe

C'est ds ton système de restauration,donc inactif !

Pour supprimer:

---> Il est nécessaire de désactiver,redémarrer puis réactiver la restauration système pour la purger :
XP:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

a+
0
Réponse 2 / 28
CactusFlower
19 août 2010 à 19:45
Bonjour archet9,

J'ai fait les 2 manipulations indiquées mais sans redémarrer l'ordinateur (oubli de ma part).

J'ai vérifier avec CCleaner, il n'y a maintenant qu'un seul point de restauration.

Faut-il recommencer la manipulation ?
0
Réponse 3 / 28
Utilisateur anonyme
19 août 2010 à 19:55
Apres avoir désactivé ta restauration, tu la réactives et normalement windows doit te demander de redémarrer afin de valider la mofif...

a+
0
Réponse 4 / 28
CactusFlower
19 août 2010 à 20:03
Je n'ai pas eu de message me demandant de redémarrer ...

Je vais faire redémarrer l'ordi quand même.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 28
Utilisateur anonyme
Modifié par archet9 le 19/08/2010 à 20:08
Ok ...

On va tout de même vérifier ton pc avec un outil de diagnostic !

Télécharge ZHPDiag ( de? Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint :? http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message
0
Réponse 6 / 28
CactusFlower
19 août 2010 à 20:17
Bon, je crois que le pc est à nouveau infecté , il y a eu des modifications au niveau du firewall et de l'antivirus

voilà le rapport

http://www.cijoint.fr/cjlink.php?file=cj201008/cijhJmMLu0.txt
0
Réponse 7 / 28
Utilisateur anonyme
19 août 2010 à 20:23
"il y a eu des modifications au niveau du firewall et de l'antivirus "

Oui effectivement...

---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe

---> Installe la console de récupération si l'outil te le propose.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt


a+
0
Réponse 8 / 28
CactusFlower
Modifié par CactusFlower le 19/08/2010 à 21:10
Voilà le rapport de Combofix

http://www.cijoint.fr/cjlink.php?file=cj201008/cijppCqa63.txt
0
Réponse 9 / 28
Utilisateur anonyme
19 août 2010 à 21:13
-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Copie le texte en gras ci-dessous ( CTRL + C pour copier )


[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified



[x] Lance ZHPFix qui est présent sur ton bureau.

[x] Clique sur le "H" bleu ( Coller les lignes Helper )

[x] Les lignes précédemment copiées apparaîtront à l'écran dans l'encadré jaune pâle.

[x] Vérifie que seules les lignes indiquées plus haut sont présentes puis clique sur [Ok]

[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt
0
Réponse 10 / 28
CactusFlower
19 août 2010 à 21:17
Je viens de vérifier l'intégrité du registre avec CCleaner.

Il me signale que la clé d'emplacement de Wordpad.exe est invalide.

voilà le rapport de CCleaner

Emplacement d'application invalide WORDPAD.EXE - "%ProgramFiles%\Windows NT\Accessories\WORDPAD.EXE" HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\WORDPAD.EXE
Clé de programme obsolète Wget HKCU\Software\Wget
Référence MUI manquante C:\DOCUME~1\ERIC\LOCALS~1\Temp\is-K0EBB.tmp\ZHPDiag 1.26.tmp HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\iexplore.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\hidec.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\n.pif HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\nircmd.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\32788R22FWJFW\NirCmdC.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\CF28688.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\ERUNT.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\NircmdB.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\NirCmd.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Référence MUI manquante C:\ComboFix\CF31428.cfxxe HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
0
Réponse 11 / 28
Utilisateur anonyme
19 août 2010 à 21:26
https://forums.commentcamarche.net/forum/affich-18894058-malware-tool-prockill-ou-faux-positif#9
0
Réponse 12 / 28
CactusFlower
19 août 2010 à 21:37
voilà le rapport de ZHPFix (désolée pour les messages qui se sont croisés)

Rapport de ZHPFix v1.12.3134 par Nicolas Coolman, Update du 12/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-19-08-2010-21-36-29.txt
Run by ERIC at 19/08/2010 21:36:29
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès


========== Récapitulatif ==========
2 : Elément(s) de donnée du Registre


End of the scan
0
Réponse 13 / 28
Utilisateur anonyme
19 août 2010 à 21:46
Pas grave pour le chassé/croisé...

Fais un scan avec cet antispyware :
Malwarebytes + tutoriel

Tu l'installes; mets le a jour...(onglet mise a jour)
Click maintenant sur l'onglet recherche et coche la case :
"Executer un examen rapide".
Puis click sur "rechercher".
Laisses le scanner le pc...
A la fin du scan, clique sur Afficher les résultats
Si des elements on ete trouvés :
> click sur supprimer la selection.
si il t'es demandé de redemarrer > click sur "oui".
A la fin un rapport va s'ouvrir;
sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp.


Ensuite:

Un nouveau ZHPdiag stp

a+
0
Réponse 14 / 28
CactusFlower
19 août 2010 à 22:01
Voilà le rapport de Malwarebytes

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4449

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19/08/2010 21:58:06
mbam-log-2010-08-19 (21-58-06).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 125821
Temps écoulé: 4 minute(s), 43 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


et celui de ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201008/cijAgsLWVn.txt
0
Réponse 15 / 28
Utilisateur anonyme
19 août 2010 à 22:07
Bon...tout semble ok maintenant...
Qu'en dis tu ?
0
Réponse 16 / 28
CactusFlower
19 août 2010 à 22:14
on dirait...

la seule chose qui me tracasse, c'est la clé invalide de wordpad.exe qui est apparue aujourd'hui avec le scan de CCleaner. alors qu'hier il n'y avait rien...

je m'inquiète peut-être pour rien...d'ailleurs Antivir ne détecte rien quand je fais analyser le fichier et Outpost non plus.
0
Réponse 17 / 28
Utilisateur anonyme
19 août 2010 à 22:40
je m'inquiète peut-être pour rien...
Oui je pense ....Une clé invalide comme son nom l'indique est inopérente...
donc ne peut être infectieuse....

Pour desinstaller les outils utilisés

Télécharge OTCleanIt sur ton Bureau: http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/

Lance OTCleanIt avec un double-clic (sous Vista, lance-le en cliquant droit sur OTCleanIt.exe et en sélectionnant "exécuter en tant qu'administrateur")

Appuie sur le bouton "CleanUp!"

A la question "begin cleanup process?", réponds "YES"

A la fin de l'opération, si OTCleanIt demande de redémarrer ("Do you want to reboot now?"), ferme ce que tu es en train de faire (internet, documents divers...) et clique sur "YES":

Au redémarrage, OTCleanIt aura supprimé les outils de désinfection, et se sera même autodétruit!


puis

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre).
* Décoche la case plus vieux que 24 h

TRES IMPORTANT:

---> Il est nécessaire de désactiver,redémarrer puis réactiver la restauration système pour la purger :
XP:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
VISTA:
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php
0
Réponse 18 / 28
CactusFlower
19 août 2010 à 22:41
et on remet ça avec un trojan et un Backdoor!

j'ai refait un scan approfondi avec Outpost

Nom: BZub
Type: Trojan

Description:
A malicious program that has a hidden harmful routine to exploit system vulnerabilities.

Clés de Registre:
HKEY_LOCAL_MACHINE\software\Microsoft\windows\currentversion\Control
Panel\load


Nom: BiFrost
Type: Backdoor

Description:
Gives someone else access to your computer by bypassing the normal authentication procedures.

Clés de Registre:
HKEY_USERS\S-1-5-21-796845957-1383384898-725345543-1004\software\Wget
0
Réponse 19 / 28
Utilisateur anonyme
19 août 2010 à 22:58
* Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)

https://www.ionos.fr/?affiliate_id=77097

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Usbfix située sur ton Bureau.
- Sur la page, clique sur le bouton :


suppression


/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir

- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
le rapport se trouve sur C:\ UsbFix.txt
0
Réponse 20 / 28
CactusFlower
19 août 2010 à 23:35
la purge de la restauration système a été effectuée (désactiver, réactiver)

un point de restauration a été créé.

J'ai téléchargé USBFix et voici son rapport

############################## | UsbFix 7.020 | [Suppression]

Utilisateur: ERIC (Administrateur) # COSTE [ ]
Mis à jour le 12/08/10 par El Desaparecido / C_XX
Lancé à 23:27:44 | 19/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Processor model unknown
Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Désactivé /!\
Antivirus: AntiVir Desktop 9.0.1.32 [(!) Disabled | Updated]
Firewall: Outpost Firewall Pro 7.0 [Enabled]
RAM -> 1023 Mo
C:\ (%systemdrive%) -> Disque fixe # 149 Go (130 Go libre(s) - 87%) [] # NTFS
D:\ -> CD-ROM
E:\ -> Disque amovible # 2 Go (395 Mo libre(s) - 21%) [UDISK] # FAT

################## | Éléments infectieux |

Supprimé! C:\WINDOWS\system32\USB.ocx

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[17/10/2009 - 13:31:54 | D ] C:\06abb89f0e18b1ab4d9b284c404b71
[11/06/2010 - 17:54:23 | D ] C:\5c54ac1533e3207e2f459f5afc
[16/08/2010 - 00:22:20 | A | 5682] C:\Ad-Report-CLEAN[1].txt
[15/08/2010 - 23:58:39 | A | 5257] C:\Ad-Report-SCAN[1].txt
[16/08/2010 - 02:06:51 | A | 4] C:\AUTOEXEC.BAT
[14/11/2009 - 20:35:05 | A | 56663] C:\beret_MCI_58.pdf
[31/10/2009 - 15:50:31 | A | 228] C:\Boot.bak
[19/08/2010 - 20:32:16 | RASH | 298] C:\boot.ini
[02/03/2006 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
[19/08/2010 - 20:32:16 | RASHD ] C:\cmdcons
[03/08/2004 - 23:00:08 | A | 263488] C:\cmldr
[10/04/2008 - 17:24:17 | A | 0] C:\CONFIG.SYS
[14/11/2009 - 19:09:58 | D ] C:\CtDriverInstTemp
[14/11/2009 - 19:09:55 | D ] C:\CWebCam
[14/11/2009 - 20:34:06 | A | 4841] C:\diamond.jpg
[10/04/2008 - 17:27:43 | D ] C:\Documents and Settings
[22/03/2010 - 08:22:58 | D ] C:\downloads
[18/08/2010 - 18:34:04 | A | 0] C:\except.log
[01/11/2009 - 18:24:26 | A | 3268] C:\index.html
[10/04/2008 - 17:24:17 | RASH | 0] C:\IO.SYS
[22/07/2010 - 19:02:27 | A | 5541] C:\JavaRa.log
[16/08/2010 - 01:40:12 | D ] C:\Kill'em
[10/04/2008 - 17:36:02 | A | 195] C:\LAN.log
[16/08/2010 - 01:18:57 | A | 31922] C:\List'em.txt
[18/08/2010 - 18:36:12 | A | 628] C:\log.log
[10/04/2008 - 17:24:17 | RASH | 0] C:\MSDOS.SYS
[02/03/2006 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
[17/10/2009 - 11:13:54 | RASH | 252240] C:\ntldr
[10/04/2008 - 18:13:07 | D ] C:\NVIDIA
[19/08/2010 - 23:07:27 | ASH | 1610612736] C:\pagefile.sys
[02/06/2010 - 21:42:41 | D ] C:\PMAIL
[19/08/2010 - 21:51:09 | RD ] C:\Program Files
[17/10/2009 - 12:55:33 | A | 1352] C:\PureRa.txt
[19/08/2010 - 23:29:07 | SHD ] C:\RECYCLER
[26/10/2009 - 17:50:43 | A | 836] C:\resolve.log
[10/04/2008 - 17:34:36 | A | 499] C:\RHDSetup.log
[18/08/2010 - 18:31:10 | D ] C:\SIERRA
[14/11/2009 - 20:39:43 | A | 519616] C:\stream001.mov
[19/08/2010 - 23:16:57 | SHD ] C:\System Volume Information
[19/08/2010 - 23:29:07 | D ] C:\UsbFix
[19/08/2010 - 23:29:12 | A | 1149] C:\UsbFix.txt
[26/10/2009 - 11:03:44 | D ] C:\VQ
[19/08/2010 - 23:08:18 | D ] C:\WINDOWS
[19/08/2010 - 21:36:30 | A | 6434] C:\ZHPExportRegistry-19-08-2010-21-36-29.txt
[16/08/2010 - 18:36:28 | D ] E:\nettoyeurs
[14/06/2010 - 13:56:18 | D ] E:\Fichiers tricot
[14/06/2010 - 13:58:50 | D ] E:\Exe
[23/06/2010 - 14:00:46 | A | 136] E:\adresse_flash_player_exe.txt
[28/06/2010 - 10:37:20 | A | 352858] E:\ie_tab_plus-1.92.20100607-fx+sm.xpi
[03/07/2010 - 11:32:16 | D ] E:\collection
[12/07/2010 - 09:31:42 | A | 18951] E:\codes_fortissimots_006.pdf
[15/07/2010 - 12:06:44 | A | 16066336] E:\jre-6u21-windows-i586.exe
[21/07/2010 - 16:34:54 | A | 27565744] E:\adobe-reader-acrobat_adobe_reader_acrobat_9.3_francais_13628.exe
[26/06/2009 - 11:12:34 | D ] E:\Divers
[13/08/2009 - 14:04:14 | RD ] E:\photos
[25/09/2009 - 16:14:46 | D ] E:\CM1
[21/10/2009 - 12:06:30 | D ] E:\FEBE
[03/02/2010 - 15:33:00 | A | 1616] E:\BOOTEX.LOG
[14/06/2010 - 13:56:02 | D ] E:\Musique

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
E:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_COSTE.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

################## | E.O.F |
0

Discussions similaires

Comment supprimer tor.jack sur Android
sabinelouisonbruno -
akaloupile -

4 réponses
distinguer positif du négatif
anossi -
anossi -

2 réponses